【摘" 要】基于汽車OTA產(chǎn)線的系統(tǒng)架構(gòu)，介紹汽車產(chǎn)線OTA測試目的、測試內(nèi)容及方法等。

【關(guān)鍵詞】OTA；汽車產(chǎn)線；測試

中圖分類號(hào)：U463.6" " 文獻(xiàn)標(biāo)志碼：A" " 文章編號(hào)：1003-8639（ 2022 ）12-0070-03

OTA Function Test Research of Automobile Product Line

ZHU Hai-long，GU Miao，ZHANG Tian-qiang，DONG Qi，LIU Ding-yuan，F(xiàn)ENG Hao

（China FAW Group Co.，Ltd.，Changchun 130000，China）

【Abstract】Based on the system architecture of automobile OTA production line，this paper introduces the OTA test objectives，test contents and methods of automobile OTA production line.

【Key words】OTA；automobile production line；testing

1" 背景

隨著汽車逐漸走向智能化、網(wǎng)聯(lián)化，其電子控制單元數(shù)量也在不斷增加，在這一過程中，軟件的作用不容忽視，目前，汽車產(chǎn)業(yè)現(xiàn)已進(jìn)入軟件定義時(shí)代，而傳統(tǒng)的汽車產(chǎn)線往往采用汽車線下刷寫的方式對(duì)車輛進(jìn)行批量刷寫?？罩邢螺d技術(shù)（OTA）是指通過移動(dòng)通信接口對(duì)軟件進(jìn)行遠(yuǎn)程管理的技術(shù)，具有減少召回成本、縮短開發(fā)周期等優(yōu)點(diǎn)，迎合了當(dāng)今汽車智能化、網(wǎng)聯(lián)化發(fā)展的需要。汽車產(chǎn)線OTA解決方案可實(shí)現(xiàn)車內(nèi)軟件的遠(yuǎn)程管理功能，在降低產(chǎn)線成本的同時(shí)，能更好地滿足互聯(lián)汽車發(fā)展需求。

汽車OTA分為固件遠(yuǎn)程升級(jí)（FOTA）和軟件遠(yuǎn)程升級(jí)（SOTA），前者通過對(duì)硬件的刷寫實(shí)現(xiàn)驅(qū)動(dòng)和系統(tǒng)的升級(jí)，后者通過安裝升級(jí)包來對(duì)應(yīng)用軟件進(jìn)行更新。如今越來越多的聯(lián)網(wǎng)車輛搭載了OTA功能，有數(shù)據(jù)顯示，2020年中國市場新車OTA搭載率達(dá)到22.4%，目前已經(jīng)增長到36.73%，在全球售出的車輛中有30%具有OTA功能，預(yù)計(jì)2025年全球OTA車輛將達(dá)到2.5億輛，新車OTA裝車率將超過80%。

2" OTA安全的重要性

OTA的應(yīng)用使網(wǎng)聯(lián)汽車能夠通過網(wǎng)絡(luò)將升級(jí)包下載到本地進(jìn)行軟件升級(jí)，實(shí)現(xiàn)了主機(jī)廠對(duì)車內(nèi)軟件的遠(yuǎn)程管理，對(duì)于產(chǎn)線來說，具有刷寫周期短、升級(jí)方便、成本低等優(yōu)點(diǎn)，并且通過OTA的方式，產(chǎn)線能夠快速地修復(fù)系統(tǒng)缺陷，還能對(duì)產(chǎn)線產(chǎn)品進(jìn)行迭代更新。目前越來越多的車企開始對(duì)汽車產(chǎn)線OTA投入研發(fā)。

汽車OTA為主機(jī)廠對(duì)車內(nèi)軟件的管理提供便利的同時(shí)也暴露出OTA的一些問題，比如OTA本身的功能問題，以及信息安全問題。這就要求主機(jī)廠對(duì)OTA活動(dòng)進(jìn)行充分的驗(yàn)證。

法規(guī)方面，聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇（WP29）關(guān)于軟件更新和軟件更新管理系統(tǒng)（R156）的法規(guī)中要求對(duì)于應(yīng)用軟件升級(jí)管理系統(tǒng)的車型，其車型和管理系統(tǒng)都需要經(jīng)過標(biāo)準(zhǔn)性認(rèn)證，以保證軟件更新過程中的功能安全和信息安全。此外，認(rèn)證機(jī)構(gòu)需要定期對(duì)認(rèn)證車型進(jìn)行生產(chǎn)一致性的檢測，任何可能導(dǎo)致認(rèn)證車型性能改變的更新都需要經(jīng)過認(rèn)證，任何不符合法規(guī)的車型將會(huì)被取消認(rèn)證[3]。

目前國內(nèi)的相關(guān)法規(guī)標(biāo)準(zhǔn)也在加緊制定中。

3" 測試維度

隨著各項(xiàng)法規(guī)和標(biāo)準(zhǔn)的頒布施行，汽車OTA安全測試體系也逐漸完善。如圖1所示，汽車OTA的系統(tǒng)架構(gòu)主要包括云端服務(wù)器和車輛終端，二者通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的傳輸。產(chǎn)線測試將對(duì)車輛OTA基礎(chǔ)功能、升級(jí)包和信息安全進(jìn)行檢測。

3.1" 車輛狀態(tài)檢測

車輛狀態(tài)檢測，如圖2所示。

在產(chǎn)線OTA升級(jí)活動(dòng)之前，車端軟件升級(jí)系統(tǒng)應(yīng)具備檢測升級(jí)任務(wù)的功能。在其升級(jí)包下載前，升級(jí)系統(tǒng)應(yīng)檢查其存儲(chǔ)空間，若存儲(chǔ)空間不滿足升級(jí)包的存儲(chǔ)要求，車端軟件升級(jí)系統(tǒng)不應(yīng)下載升級(jí)包。

在產(chǎn)線OTA的升級(jí)包下載過程中，車端軟件升級(jí)系統(tǒng)應(yīng)具備斷點(diǎn)續(xù)傳的功能。若升級(jí)包下載過程中被中斷，在重新具備下載環(huán)境后，車端軟件升級(jí)系統(tǒng)應(yīng)繼續(xù)下載升級(jí)包。

在產(chǎn)線OTA升級(jí)包安裝前，車端軟件升級(jí)系統(tǒng)應(yīng)檢查車輛行駛狀態(tài)、車輛供電系統(tǒng)或現(xiàn)有電量以及升級(jí)包與車輛現(xiàn)有軟硬件的兼容性：若車輛行駛狀態(tài)不滿足升級(jí)包的安裝要求，車端軟件升級(jí)系統(tǒng)不應(yīng)安裝升級(jí)包，或者車輛供電系統(tǒng)或現(xiàn)有電量不滿足升級(jí)包的安裝和恢復(fù)要求，車端軟件升級(jí)系統(tǒng)不應(yīng)安裝升級(jí)包，均應(yīng)以明確的方式提示車輛用戶；若兼容性不滿足升級(jí)包的安裝要求，車端軟件升級(jí)系統(tǒng)不應(yīng)安裝升級(jí)包。

3.2" 升級(jí)包安裝

如圖3所示，在產(chǎn)線OTA升級(jí)包安裝之前，應(yīng)明顯提示升級(jí)目的、升級(jí)變更點(diǎn)、升級(jí)時(shí)間，以及升級(jí)過程中不可用的功能與升級(jí)執(zhí)行的安全指導(dǎo)等信息。同時(shí)，車端軟件升級(jí)系統(tǒng)應(yīng)具備安裝確認(rèn)功能并顯示安裝過程的關(guān)鍵信息（如升級(jí)過程中的注意事項(xiàng)、安裝進(jìn)度、剩余時(shí)間等），安裝確認(rèn)功能如確定安裝或取消安裝等。

在產(chǎn)線OTA升級(jí)包安裝完成后，車端軟件升級(jí)系統(tǒng)應(yīng)檢查被升級(jí)部件的升級(jí)結(jié)果，并應(yīng)至少將本次安裝結(jié)果（如成功或失敗）、當(dāng)前軟件版本號(hào)、安裝時(shí)間等信息保存在本地或同步到后臺(tái)服務(wù)器。若安裝失敗，車端軟件升級(jí)系統(tǒng)應(yīng)檢查被升級(jí)部件的升級(jí)結(jié)果。

3.3" 信息安全要求（圖4）

產(chǎn)線OTA的車端軟件升級(jí)系統(tǒng)應(yīng)具備對(duì)遠(yuǎn)程升級(jí)服務(wù)器真實(shí)性鑒別能力、升級(jí)包校驗(yàn)?zāi)芰?、身份鑒別能力和訪問權(quán)限控制能力，其中對(duì)升級(jí)操作需要授權(quán)訪問。此外升級(jí)系統(tǒng)應(yīng)保證數(shù)據(jù)在存儲(chǔ)和傳輸過程中的完整性和機(jī)密性，數(shù)據(jù)包括鑒別數(shù)據(jù)、審計(jì)數(shù)據(jù)等。

4" 測試驗(yàn)證

本部分內(nèi)容包括產(chǎn)線OTA測試的目的、測試方法與流程。本次選取了部分具有代表性的、安全意義重大的測試項(xiàng)目進(jìn)行驗(yàn)證。

4.1" 測試環(huán)境（圖5）

根據(jù)產(chǎn)線實(shí)驗(yàn)室測試環(huán)境，測試設(shè)備與OTA云平臺(tái)連接，配置升級(jí)任務(wù)；測試設(shè)備接入車端OTA控制節(jié)點(diǎn)進(jìn)行日志的讀??；測試設(shè)備與總線測試設(shè)備接入車端總線接口，仿真發(fā)送測試報(bào)文。

4.2" 車輛電量檢測測試

產(chǎn)線OTA升級(jí)的電量檢測測試，是為了保證產(chǎn)線的車輛有足夠電量支撐車輛完成升級(jí)，包括升級(jí)成功或升級(jí)失敗后有足夠電量回滾完成，避免車輛升級(jí)過程中“趴窩”。在升級(jí)前，車端軟件升級(jí)系統(tǒng)應(yīng)對(duì)車輛電量進(jìn)行檢測，如果電量不滿足，應(yīng)上傳至云平臺(tái)對(duì)車輛狀態(tài)進(jìn)行報(bào)警。

產(chǎn)線測試場景會(huì)對(duì)測試前進(jìn)行電量滿足和電量不滿足場景的測試，其中電量不滿足的場景又分為升級(jí)前電量不滿足、升級(jí)過程中電量不滿足、升級(jí)過程中電量信號(hào)丟失等異常場景。針對(duì)這3種異常場景，以電動(dòng)車為例，分析如下。

1）升級(jí)前電量不滿足：升級(jí)前置條件電量閾值為20%，也就是SOC電量在20%以上才能允許升級(jí)。通過仿真形式，發(fā)送電量的仿真報(bào)文，SOC設(shè)置為10%，車端發(fā)起任務(wù)檢測，下載完成后，查看能否進(jìn)入升級(jí)流程。

2）升級(jí)過程中電量不滿足：升級(jí)前置條件電量閾值為20%，通過仿真形式，發(fā)送電量的仿真報(bào)文，SOC設(shè)置為30%，車端發(fā)起任務(wù)檢測，下載完成后，進(jìn)行升級(jí)，在進(jìn)入OTA升級(jí)流程后，通過仿真形式，發(fā)送電量的仿真報(bào)文，SOC設(shè)置為10%，查看升級(jí)狀態(tài)。

3）升級(jí)過程中電量信號(hào)丟失：在升級(jí)過程中，通過仿真形式將整車電量信號(hào)設(shè)置為丟失狀態(tài)，查看升級(jí)狀態(tài)。

4.3" 升級(jí)包校驗(yàn)測試

產(chǎn)線OTA升級(jí)包校驗(yàn)測試是為了檢測車端是否具有對(duì)升級(jí)包的真實(shí)性、完整性的校驗(yàn)?zāi)芰Γ?dāng)校驗(yàn)通過時(shí)，該安裝包可以用來升級(jí)，否則認(rèn)為包體遭到篡改或內(nèi)容有誤，不可用于升級(jí)，這主要是通過簽名驗(yàn)證機(jī)制來實(shí)現(xiàn)的。對(duì)一個(gè)存在簽名的安裝包，對(duì)其簽名內(nèi)容進(jìn)行篡改后再次推送，以進(jìn)行真實(shí)性校驗(yàn)測試；對(duì)任意安裝包，對(duì)其文件內(nèi)容進(jìn)行篡改后再次推送，以進(jìn)行完整性校驗(yàn)測試。

針對(duì)產(chǎn)線的特殊場景下進(jìn)行測試，需要平臺(tái)開放測試接口，以滿足修改后的升級(jí)包能推送到車端進(jìn)行測試，或者需要測試車輛預(yù)留調(diào)試接口，在車端進(jìn)行升級(jí)包的修改。

4.4" 通信安全測試

在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，傳輸?shù)臄?shù)據(jù)面臨著竊聽、篡改等危險(xiǎn)，通信安全測試是為了檢測云端與車端通信過程中傳輸?shù)臄?shù)據(jù)是否加密、加密是否可靠、通信協(xié)議是否安全。通過對(duì)通信過程中的報(bào)文進(jìn)行抓包，分析是否存在明文數(shù)據(jù)傳輸、算法能否被破解等問題進(jìn)行測試。

在產(chǎn)線的測試環(huán)境下，需要將測試抓包工具并入到車端與云端的網(wǎng)絡(luò)環(huán)境中，通常采用共同連接網(wǎng)絡(luò)的方式進(jìn)行。

5" 總結(jié)

汽車產(chǎn)線OTA滿足了汽車智能化、網(wǎng)聯(lián)化發(fā)展的需要，使汽車生產(chǎn)發(fā)生了前所未有的變革，為主機(jī)廠帶來了遠(yuǎn)程管理的便利，降低了生產(chǎn)成本，但與此同時(shí)，汽車OTA的安全問題同樣不容忽視。本文介紹了汽車OTA產(chǎn)線架構(gòu)中各部分的測試項(xiàng)目、測試要求，希望能對(duì)產(chǎn)線OTA研發(fā)人員起到參考作用。

參考文獻(xiàn)：

[1] 袁九宇，馬江濤，程琳. 車輛OTA系統(tǒng)的虛擬仿真測試平臺(tái)[J]. 汽車應(yīng)用技術(shù)，2020（6）：90-92 .

[2] 嚴(yán)娟，張玉川，楊鵬翔，等. 基于以太網(wǎng)OTA遠(yuǎn)程升級(jí)的研究[J]. 上海汽車，2020（3）：15-18，27.

[3] 武翔宇，趙德華，郝鐵亮. 淺談汽車OTA的現(xiàn)狀與未來發(fā)展趨勢[J]. 汽車實(shí)用技術(shù)，2019（3）：214-216.

[4] 施竹雨，王斌，陳業(yè)剛. 淺析OTA測試[J]. 科技資訊，2019（1）：102 .

[5] 尹志敏. 云端服務(wù)性能測量[D]. 哈爾濱：哈爾濱工業(yè)大學(xué)，2014.

[6] 張海強(qiáng). 智能網(wǎng)聯(lián)汽車安全遠(yuǎn)程升級(jí)技術(shù)的研究與實(shí)現(xiàn)[D]. 成都：電子科技大學(xué)，2018.

[7] 譚凡. 智能網(wǎng)聯(lián)汽車FOTA系統(tǒng)安全機(jī)制的研究與實(shí)現(xiàn)[D]. 成都：電子科技大學(xué)，2020.

[8] 李志濤. FOTA功能測試的研究與分析[J]. 汽車電器，2020（7）：21-24.

[9] 王棟梁，湯利順，陳博，等. 智能網(wǎng)聯(lián)汽車整車OTA功能設(shè)計(jì)研究[J]. 汽車技術(shù)，2018（10）：29-33.

[10] 李立安. OTA實(shí)現(xiàn)方案及汽車端設(shè)計(jì)分析[J]. 汽車實(shí)用技術(shù)，2020（14）：16-17.

（編輯" 凌" 波）